Politique de confidentialité

Le responsable du traitement (data controller / business au sens du CPRA) des données personnelles décrites dans la présente Politique est :

VORAKO LLC
Limited Liability Company (Wyoming)
312 W 2nd St Unit 3924
Casper, WY 82601
United States
Wyoming Secretary of State Filing ID :
E-mail : [email protected]

Nous collectons les catégories suivantes de données personnelles :

• Données de compte : nom, e-mail professionnel, mot de passe (haché), dénomination sociale, fonction.
• Données d'onboarding (KYB) : dénomination sociale et numéro d'immatriculation, adresses, noms et identifiants des représentants légaux et bénéficiaires effectifs (beneficial owners), pièces d'identité (passeport, carte nationale d'identité, justificatifs d'identité). Les données d'identification sensibles sont tokenisées dans votre navigateur via Stripe.js et transmises directement à Stripe ; Nyxpay ne stocke pas le contenu en clair de ces champs.
• Données bancaires : informations de compte bancaire. Tokenisées via Stripe.js, jamais stockées en clair sur nos systèmes.
• Données de transactions : montants, devises, statuts, horodatages, références, métadonnées de litiges et remboursements.
• Données techniques et de navigation : adresse IP, type de navigateur, système d'exploitation, pages visitées, identifiants de session, journaux techniques.
• Communications : contenu des messages que vous nous adressez via les canaux de support, formulaires de contact ou e-mails.

Nous ne collectons pas sciemment de données personnelles d'enfants de moins de 16 ans. Le Service est destiné à un usage professionnel et non aux mineurs.

Nous utilisons les données personnelles pour :

• Créer, exploiter et sécuriser votre Compte ;
• Vérifier votre identité et celle de vos représentants et bénéficiaires effectifs (KYB), conformément aux obligations AML/CFT issues du Bank Secrecy Act et de la réglementation FinCEN ;
• Traiter les Transactions et acheminer les virements via Stripe ;
• Détecter, prévenir et répondre aux fraudes, incidents de sécurité et violations des CGU ;
• Fournir le support client et répondre à vos demandes ;
• Vous adresser des notifications relatives au Service et, lorsque autorisé, des communications marketing (auxquelles vous pouvez vous opposer à tout moment, conformément au CAN-SPAM Act et aux lois locales applicables) ;
• Améliorer et développer le Service, y compris analyses et recherche produit ;
• Respecter nos obligations légales, fiscales, comptables et d'audit.

Lorsque le RGPD ou le UK GDPR s'applique, nous traitons vos données personnelles sur les bases légales suivantes :

• Exécution d'un contrat : pour exploiter votre Compte et fournir le Service.
• Respect d'une obligation légale : obligations KYB / AML-CFT, fiscales et comptables (notamment Bank Secrecy Act, IRS reporting).
• Intérêts légitimes : sécurisation du Service, prévention de la fraude et amélioration produit, mis en balance avec vos droits et libertés.
• Consentement : pour les cookies non essentiels et certaines communications marketing. Vous pouvez retirer votre consentement à tout moment, sans affecter la licéité des traitements antérieurs.

Nous partageons les données personnelles avec les catégories de destinataires suivantes, uniquement dans la mesure nécessaire :

• Stripe (Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, États-Unis, et ses filiales — notamment Stripe Payments Company aux États-Unis et Stripe Payments Europe, Limited pour les marchands de l'EEE) — pour fournir les services de paiement réglementés, le KYB, le règlement, la prévention de la fraude (Stripe Radar) et le reporting. Stripe agit en tant que responsable de traitement indépendant pour ses propres finalités réglementaires et de gestion du risque. Voir stripe.com/privacy.
• Hébergeurs et prestataires d'infrastructure (Vercel Inc. ; notre prestataire de base de données ; fournisseurs de stockage et CDN) — pour héberger et exploiter le Service, agissant en qualité de service providers / sous-traitants au titre d'accords écrits.
• Réseaux de cartes et partenaires de gestion des litiges (Visa, Mastercard, American Express, Discover, Ethoca, Verifi, chargeback.io) — pour traiter les Transactions et prévenir ou résoudre les litiges.
• Conseillers professionnels (avocats, experts-comptables, auditeurs) — sous obligations de confidentialité.
• Autorités administratives et judiciaires — lorsque la loi l'exige, sur réquisition judiciaire ou demande légale (notamment FinCEN, IRS, autorités fiscales étatiques, autorités judiciaires américaines et, le cas échéant, autorités européennes ou britanniques).
• Repreneurs — en cas de fusion, acquisition ou cession de la totalité ou de la quasi-totalité de nos actifs, sous engagement de confidentialité standard.

Nous ne vendons pas vos données personnelles au sens du CPRA et ne les partageons pas à des fins de publicité comportementale ciblée intersites (cross-context behavioral advertising).

Étant établis aux États-Unis, nous traitons l'essentiel des données personnelles sur le territoire américain. Si vous résidez dans l'EEE, au Royaume-Uni ou en Suisse, vos données peuvent ainsi être transférées hors de votre juridiction.

Pour les transferts hors EEE / Royaume-Uni vers les États-Unis, nous nous appuyons sur les Clauses Contractuelles Types de la Commission européenne (Décision (UE) 2021/914 du 4 juin 2021), les UK International Data Transfer Addendum et, lorsque applicable, sur la participation des prestataires concernés au EU-U.S. Data Privacy Framework, ainsi que sur toute mesure de protection complémentaire requise. La documentation détaillée est disponible sur demande à [email protected].

• Données de Compte et de Transactions : pendant toute la durée de la relation contractuelle, puis archivées conformément aux obligations comptables et fiscales américaines (généralement 7 ans au titre des règles de l'IRS, et plus longtemps si la loi étatique applicable l'exige).
• Données KYB / AML-CFT : 5 ans minimum à compter de la fin de la relation d'affaires, conformément aux exigences du Bank Secrecy Act et de FinCEN.
• Journaux techniques : jusqu'à 12 mois.
• Données prospects et marketing : jusqu'à 3 ans après le dernier contact, ou jusqu'au retrait de votre consentement.

Une conservation plus longue peut s'appliquer si elle est nécessaire pour faire valoir, exercer ou défendre des droits en justice.

Nous mettons en œuvre des mesures administratives, techniques et physiques raisonnables destinées à protéger les données personnelles, notamment : chiffrement TLS en transit, chiffrement au repos, hachage des mots de passe, contrôle d'accès basé sur les rôles, journalisation d'audit, tokenisation côté navigateur des données d'identité et bancaires sensibles, et tests de sécurité périodiques. Aucun système n'étant totalement sûr, nous ne pouvons garantir une sécurité absolue.

Si vous résidez en Californie (CPRA / CCPA), vous disposez des droits suivants : droit de savoir quelles catégories d'informations personnelles nous collectons et leurs finalités ; droit d'accès aux informations personnelles spécifiques que nous détenons à votre sujet ; droit de suppression de vos informations personnelles, sous réserve des exceptions légales ; droit de rectification des informations inexactes ; droit de limiter l'utilisation et la divulgation des informations personnelles sensibles ; droit de refuser la vente ou le partage (nous ne vendons ni ne partageons vos données à ces fins) ; et droit à la non-discrimination pour l'exercice de ces droits.

Si vous résidez dans l'EEE ou au Royaume-Uni (RGPD / UK GDPR), vous disposez des droits suivants :

• Droit d'accès à vos données personnelles ;
• Droit de rectification des données inexactes ou incomplètes ;
• Droit à l'effacement (« droit à l'oubli »), sous réserve des exceptions légales (notamment conservation pour obligations AML-CFT) ;
• Droit à la limitation du traitement ;
• Droit d'opposition, notamment au traitement à des fins de prospection commerciale ;
• Droit à la portabilité de vos données ;
• Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement ;
• Droit de ne pas faire l'objet d'une décision individuelle automatisée produisant des effets juridiques ou similaires.

Pour exercer ces droits, contactez-nous à [email protected]. Nous pourrons être amenés à vérifier votre identité avant de traiter votre demande. Un mandataire (authorized agent au sens du CPRA) peut soumettre une demande en votre nom moyennant la preuve écrite de son habilitation.

Résidents des États-Unis. Vous pouvez adresser une réclamation à l'autorité de protection des données de votre État (par exemple le California Privacy Protection Agency pour les résidents de Californie : cppa.ca.gov) ou à la Federal Trade Commission (FTC) à reportfraud.ftc.gov.

Résidents de l'EEE / Royaume-Uni. Vous pouvez adresser une réclamation à l'autorité de protection des données de votre pays de résidence (par exemple la CNIL en France, l'ICO au Royaume-Uni). En l'absence d'autorité de référence applicable, vous pouvez contacter directement la CNIL :

CNIL
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07, France
www.cnil.fr

Nous utilisons des cookies strictement nécessaires pour la gestion de session, l'authentification et la sécurité. Avec votre consentement (lorsque requis), nous pouvons utiliser des cookies de mesure d'audience pour comprendre l'utilisation du Service. Nous n'utilisons pas de cookies à des fins de publicité comportementale intersites. Vous pouvez gérer vos préférences via le bandeau cookies affiché lors de votre première visite ou à tout moment via les paramètres de votre navigateur. Nous honorons les signaux Global Privacy Control (GPC) lorsque la loi applicable l'exige.

Le Service n'est pas destiné aux mineurs de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles d'enfants, et nous respectons les exigences applicables du Children's Online Privacy Protection Act (COPPA). Si vous estimez qu'un mineur nous a transmis des données personnelles, contactez-nous afin que nous prenions les mesures nécessaires pour les supprimer.

Nous pouvons mettre à jour la présente Politique de confidentialité périodiquement. La date de mise à jour figure en tête de page. En cas de modification substantielle, nous vous en informerons par e-mail ou via une notification dans le Service.

Pour toute question relative à la présente Politique ou pour exercer vos droits :

VORAKO LLC — Privacy / Protection des données
312 W 2nd St Unit 3924, Casper, WY 82601, USA
[email protected]